Nur Kartenaussteller und Kartennetzwerke dürfen die Kartendaten einer in Indien ausgestellten Karte für Transaktionen speichern, die über von der Reserve Bank of India (RBI) lizenzierte Zahlungsdienstleister abgewickelt werden. Die RBI verlangt von Zahlungsaggregatoren (wie Stripe India), dass sie anstelle der tatsächlichen Kredit-/Debitkartennummer Netzwerk-Token für die Zahlungsabwicklung verwenden.

Diese Vorschriften betreffen hauptsächlich Unternehmen mit Sitz in Indien. Kartennetzwerke haben Card-on-File (CoF) Tokenisierungsdienste eingeführt, um diese Anforderungen zu erfüllen, und Stripe hat Lösungen entwickelt, von denen unsere Kund/innen profitieren können. Weitere Informationen zu den indischen Vorschriften finden Sie in unserem Artikel Hintergrundinformationen zu den Vorschriften der indischen Regierung, die Kartenzahlungen betreffen.

FAQ

Was genau besagen die Richtlinien der Reserve Bank of India über die Aufbewahrung von Kartendaten?

Kein Unternehmen innerhalb der Kartentransaktionskette darf kartenbezogene Kundeninformationen speichern (außer den Kartenausstellern und Kartennetzwerken) – diese Einschränkung gilt auch für Händler, Zahlungsaggregatoren (PAs), Zahlungs-Gateways (PGs) und Acquiring-Banken. Sie bestätigen auch, dass die Netzwerk- und die Emittenten-Tokenisierung die einzig geeigneten Vorgehensweisen für die Branche sind.

Darüber hinaus gibt es zusätzliche Anforderungen an die Implementierung der Tokenisierung, die beachtet werden müssen:

• Ein Token muss auf eine/n Händler/in, eine Kundenkarte und einen Token-Antragsteller (z. B. Stripe India) zugeschnitten sein

• Vor der Generierung eines Tokens muss die ausdrückliche Zustimmung des Kunden oder der Kundin eingeholt und eine zusätzliche Authentifizierung vorgenommen werden

• Ein/e Händler/in sollte den Kund/innen die Möglichkeit geben, die tokenisierte Karte von der Händlerplattform zu löschen

• Nur die letzten 4 Ziffern der Kundenkarte sowie der Name der kartenausgebenden Bank und des Kartennetzwerks können einem/einer Händler/in bei Transaktionen zur Verfügung gestellt werden (d. h. sie sind auf dem Stripe Dashboard für Zahlungen sichtbar).

Dies gilt nur für inländische Händler/innen in Indien für inländische Transaktionen. Wenn Sie ein/e internationale/r Händler/in auf Stripe sind, haben Sie keinen Vertrag mit Stripe India, diese Verordnung gilt nicht und die Karten werden nicht tokenisiert.

Kann ich jetzt Token anstelle von Karten speichern?

Nein, wie bei der Speicherung von Card on File (CoF) können nur PCI DSS-konforme Händler/innen Token selbst speichern. Die verbleibenden Händler/innen, die derzeit einen Drittanbieter für die Speicherung ihrer Karten nutzen, müssen dies auch weiterhin für ihre Token tun.

Stripe ist ein zertifizierter Token-Antragsteller, der nicht nur Token speichern und Token-basierte Transaktionen erleichtern kann, sondern auch die Generierung von Token über die Kartennetzwerke ermöglicht. 

An Ihrer Stripe-Integration wird sich nichts ändern. Stripe kümmert sich nahtlos um das Abrufen und Verwenden von Netzwerk-Token im Namen Ihrer Kund/innen. Sie müssen sich nicht um diesen Prozess kümmern.

Wird ein für eine Kundenkarte erstelltes Token für meine Kund/innen und andere Händler/innen gleich sein?

Ein Token ist immer eindeutig für eine/n Händler/in, eine Kunden-ID, einen Token-Antragsteller und ein Kartennetzwerk. Ein Token, das auf der Plattform eines/einer Händlers/Händlerin generiert wurde, ist auf der Plattform eines/einer anderen Händlers/Händlerin nicht mehr gültig.

Im Wesentlichen verfügt die Karte eines/einer Karteninhaber/in über mehrere Token, je nach der Anzahl der Händler-Kunden-ID-Kombinationen, die sie hat. 

Diese Karte wird vom Token-Antragsteller (Stripe) verwaltet. Wir können jedoch nicht garantieren, dass ein/e Händler/in, der/die in die Kartennetzwerke aufgenommen wird, dieselbe Händler-ID hat, die von anderen Token-Antragstellern bereitgestellt wird (d. h. es kann zu Duplikaten kommen). Daher können wir nicht garantieren, dass ein von Stripe bereitgestelltes Token für die gleiche Händler-Kunden-Kombination funktioniert, wenn es über andere Zahlungsaggregatoren/Zahlungs-Gateways verwendet wird. 

Wie wirkt sich das auf die Erfahrung meiner Kund/innen an der Kasse aus?

Für die Endkund/innen werden die Auswirkungen der Tokenisierung minimal sein. Um ihre Karten in ein Token umzuwandeln, müssen Kund/innen Ihnen ihre Zustimmung geben, während sie eine laufende Transaktion bezahlen. Dies gilt sowohl für den neuen Kartenfluss als auch für den gespeicherten Kartenfluss.

Um Ihnen das Leben zu erleichtern, führt Stripe „Stripe Managed Tokenization Consent“ (SMTC; von Stripe verwaltete Tokenisierungseinwilligung) ein, eine abgefangene Formularansicht als Teil des Bezahlvorgangs, um die Zustimmung der Kund/innen in Ihrem Namen zu sammeln, ohne dass Sie einen neuen UX-Flow entwickeln oder Integrationsänderungen vornehmen müssen.

Sie haben die Möglichkeit, die von Stripe verwaltete Tokenisierungseinwilligung zu deaktivieren (siehe unten), wenn Sie Ihren eigenen benutzerdefinierten Einwilligungsfluss erstellen oder integrieren möchten, den Sie nahtlos in Ihre Kaufabwicklung integrieren möchten.

Für Nutzer/innen, die die Karten ihrer Kund/innen bereits mit Token versehen haben, werden die gespeicherten Karten nun zusätzlich maskiert, sodass nur noch die letzten 4 Ziffern sichtbar sind.

Karteninhaber/innen, die sich gegen die Tokenisierung ihrer Karten entscheiden, müssen künftig bei allen Kartentransaktionen ihre 16-stellige Kartennummer, die Gültigkeitsdauer und den CVV eingeben.

Wie kann ich die von Stripe verwaltete Tokenisierungseinwilligung deaktivieren?

Wenn Sie die von Stripe verwaltete Tokenisierungseinwilligung deaktivieren möchten, weil Sie Ihren eigenen benutzerdefinierten Einwilligungsfluss erstellen möchten, navigieren Sie bitte zum Abschnitt „Compliance“ auf der Einstellungsseite des Stripe-Dashboards zu Kartenspeichereinwilligung.

Schalten Sie unter Zustimmung zur Kartenspeicherung die Bestätigungsfunktion für die Einholung der Zustimmung ein.

Nach der Abmeldung sind Sie verpflichtet, die Zustimmung der Kund/innen einzuholen und die Kartendaten nur dann für die künftige Verwendung im Stripe-Kundenobjekt zu speichern, wenn die Karteninhaber/innen im Rahmen des Zustimmungsprozesses an der Kasse ihre Zustimmung gegeben haben.

Welches sind die Abläufe, die für mich möglicherweise unterbrochen werden können?

Für Benutzer/innen, die Stripe Billing, Stripe Checkout oder Stripe Elements nicht verwenden, sind alle Abläufe, die auf die Kartennummer Ihres Kunden/Ihrer Kundin angewiesen sind, davon betroffen. Sie müssen sich über den Dashboard-Mechanismus abmelden und die Zustimmung Ihrer Kund/innen einholen, dass wir die Informationen in Token umwandeln und in den Stripe-Systemen speichern dürfen.

Wo kann ich weitere Informationen erhalten?

Bitte kontaktieren Sie uns unter support.stripe.com. Unser Team hilft Ihnen gerne bei allen Fragen, die Sie haben, und erläutert Ihnen, wie Sie die Vorschriften einhalten können.